Recommandations sur l'environnement d'utilisation
L'installation d'un firewall SNS et d'un serveur SMC s'inscrit dans la mise en place d'une politique de sécurité globale. Pour garantir une protection optimale de vos biens, ressources ou informations, il ne s'agit pas uniquement d'installer le firewall entre votre réseau et l'Internet ou d'installer un serveur SMC pour vous aider à les configurer correctement. En effet, la plupart du temps, les attaques viennent de l'intérieur (accident, personne mécontente de son travail, personne licenciée ayant gardé un accès interne, etc.).
Cette page liste des recommandations de sécurité pour l'utilisation des firewalls SNS et d'un serveur SMC.
-
Consultez régulièrement les bulletins de sécurité Stormshield sur https://advisories.stormshield.eu et les dernières informations sur la sécurité des produits Stormshield sur https://security.stormshield.eu/.
-
Appliquez systématiquement les mises à jour qui corrigent des failles de sécurité sur vos produits Stormshield. Ces mises à jour sont disponibles sur https://mystormshield.eu.
Recommandations
Mesures de sécurité physiques
Les firewalls SNS et le serveur SMC doivent être installés et stockés conformément à l'état de l'art concernant les dispositifs de sécurité sensibles : local à accès protégé, câbles blindés en paire torsadée, étiquetage des câbles, etc.
Mesures de sécurité organisationnelles
Super administrateur
Un rôle administrateur particulier, le super administrateur, présente les caractéristiques suivantes :
- Il est le seul à être habilité à se connecter via la console locale sur les firewalls SNS, et ce uniquement lors de l'installation du firewall SNS ou pour des opérations de maintenance, en dehors de l'exploitation,
- Il est chargé de la définition des profils des autres administrateurs,
- Tous les accès dans les locaux où sont stockés les firewalls SNS et le serveur SMC se font sous sa surveillance, que l'accès soit motivé par des interventions sur le firewall SNS ou sur d'autres équipements. Toutes les interventions se font sous la responsabilité du super administrateur.
IMPORTANT
Le mot de passe par défaut du super administrateur doit être modifié lors de la première utilisation du firewall SNS.
Mot de passe
Les mots de passe des utilisateurs et des administrateurs doivent être choisis de façon à retarder toutes les attaques visant à les casser, via une politique de création et de contrôle de ceux-ci (mélange alphanumérique, longueur minimum, ajout de caractères spéciaux, pas de mots des dictionnaires usuels, etc.).
Les administrateurs peuvent modifier leur mot de passe dans l'interface d'administration web :
-
Des firewalls SNS dans Configuration > Système > Administrateur, onglet Compte Admin,
-
Du serveur SMC dans Maintenance > Serveur SMC > Administrateurs.
Les administrateurs sont sensibilisés à ces bonnes pratiques de par leur fonction et il est de leur responsabilité de sensibiliser tous les utilisateurs à ces bonnes pratiques (voir la section suivante Sensibilisation des utilisateurs).
Bonne politique de contrôle des flux d'informations
La politique de contrôle des flux d'informations à mettre en œuvre est définie, pour tous les équipements des réseaux dits "de confiance" à protéger, de manière :
- Complète : les cas d'utilisation standards des équipements ont tous été envisagés lors de la définition des règles et leurs limites autorisées ont été définies,
- Stricte : seuls les cas d'utilisation nécessaires des équipements sont autorisés,
- Correcte : les règles ne présentent pas de contradiction,
- Non-ambigüe : l'énoncé des règles fournit tous les éléments pertinents pour un paramétrage direct du firewall SNS par un administrateur compétent.
Clés cryptographiques
Les clés cryptographiques générées en dehors du firewall SNS et importées sur ce dernier doivent avoir été générées conformément aux recommandations du référentiel général de sécurité (RGS) de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI).
Agents humains
Les administrateurs sont des personnes non hostiles et compétentes, disposant des moyens nécessaires à l'accomplissement de leurs tâches. Ils sont formés pour exécuter les opérations dont ils ont la responsabilité. Leurs compétences et leur organisation impliquent que :
- Différents administrateurs avec les mêmes droits ne mènent pas des actions d'administration qui se contredisent (modifications incohérentes des politiques de contrôle des flux d'information),
- L'exploitation des journaux et des alarmes dans des délais appropriés.
Environnement de sécurité TI (Technologies de l'Information)
Firewalls SNS
Les firewalls SNS sont les seuls points de passage entre les différents réseaux sur lesquels il faut appliquer la politique de contrôle des flux d'information. Ils sont dimensionnés en fonction des capacités des équipements adjacents ou alors ces derniers réalisent des fonctions de limitation du nombre de paquets par seconde, positionnées légèrement en deçà des capacités maximales de traitement de chaque firewall SNS installé dans l'architecture réseau.
À part l'application des fonctions de sécurité, les firewalls SNS ne fournissent pas de service réseau autre que le routage et la translation d'adresse (pas de DHCP, DNS, PKI, proxies applicatifs, etc.). Les firewalls SNS ne sont pas configurés pour retransmettre les flux IPX, Netbios, AppleTalk, PPPoE ou IPv6.
Les firewalls SNS ne dépendent pas de services externes en ligne (comme DNS, DHCP, RADIUS, etc.) pour l'application de la politique de contrôle des flux d'information.
L'environnement de sécurité TI fournit :
-
Des horodatages NTP fiables,
-
Un état à jour de la révocation d'un certificat X.509 pour les correspondants et les administrateurs,
-
Un service d'enrôlement fiable.
Serveur SMC
Une politique de contrôle des flux d'informations doit être appliquée au serveur SMC afin de permettre uniquement à ses administrateurs et aux firewalls SNS administrés de s'y connecter.
La machine virtuelle doit être correctement dimensionnée (RAM, CPU, disque) afin de permettre l'administration des firewalls SNS gérés par le logiciel. Le système d'exploitation du serveur SMC ne doit en aucun cas être modifié afin de répondre à des besoins en dehors desquels il a été conçu.
La bande passante disponible entre le serveur SMC et les firewalls SNS doit être suffisante et disponible en permanence afin de réaliser toutes les opérations d'administration. L'administrateur devra configurer voire désactiver certaines fonctionnalités afin de répondre à ce besoin, ou bien devra limiter le nombre de paquets par seconde afin de prioriser les flux d'administration.
La production et la distribution des packages de rattachement, permettant aux firewalls SNS d'être administrés par le serveur SMC, doivent être gérées et confiées à des personnes ayant été sensibilisées à la sécurité. Ces packages ne doivent transiter entre le serveur SMC et les firewalls SNS que via des moyens sécurisés (e-mails chiffrés, clés USB sécurisées, etc.).
Interconnectivité
Les stations d'administration à distance sont sécurisées et maintenues à jour de toutes les vulnérabilités connues concernant les systèmes d'exploitation et les applications hébergées. Elles sont installées dans des locaux à accès protégé et sont exclusivement dédiées à l'administration des firewalls SNS, du serveur SMC et au stockage des sauvegardes.
Les équipements réseau avec lesquels le firewall SNS établit des tunnels VPN sont soumis à des contraintes de contrôle d'accès physique, de protection et de maîtrise de leur configuration équivalentes à celles des firewalls SNS.
Les postes sur lesquels s'exécutent les clients VPN des utilisateurs autorisés sont soumis à des contraintes de contrôle d'accès physique, de protection et de maîtrise de leur configuration équivalentes à celles des postes clients des réseaux de confiance. Ils sont sécurisés et maintenus à jour de toutes les vulnérabilités connues concernant les systèmes d'exploitation et les applications hébergées.
Configurations et mode d'utilisation des firewalls SNS soumis à l'évaluation
Le mode d'utilisation soumis à l'évaluation présente les caractéristiques suivantes :
-
Le cadre de l'évaluation comprend la suite logicielle Stormshield UTM / NG-Firewall installée sur l'ensemble des versions de firewalls Stormshield, allant du SN210 au SN6100, ainsi que les modèles industriels SNi20 et SNi40. Certains modèles ne disposent pas d'un support de stockage conséquent pour les logs et doivent émettre les événements par syslog,
-
Les firewalls SNS doivent être stockés dans un local à accès sécurisé. Ces mesures, ainsi que les procédures organisationnelles de l'environnement d'exploitation, doivent garantir que les seuls accès physiques aux firewalls SNS se font sous la surveillance du super-administrateur,
-
La console locale n'est pas utilisée en exploitation. Seul le super-administrateur peut s'y connecter, et, par hypothèse, ce genre d'intervention ne se fait que lorsqu'une sortie du cadre de l'exploitation – pour procéder à une maintenance ou à une ré-installation – est décidée,
-
Les stations sur lesquelles s'exécutent l'interface Web d'administration sont sécurisées, dédiées à cette utilisation, et à jour de tous les correctifs concernant leur système d'exploitation et les logiciels applicatifs qui les équipent,
-
Le logiciel Stormshield Network IPsec VPN Client est hors du cadre de l'évaluation. L'utilisateur peut utiliser le client VPN IPsec de son choix ; cependant, ces postes clients doivent être sécurisés avec un niveau de rigueur équivalent à celui des stations d'administration à distance,
-
Tout service externe utilisé par le firewall SNS sera hors du cadre de l'évaluation. Néanmoins, ces services doivent être dédiés à cette utilisation, et à jour de tous les correctifs concernant leur système d'exploitation et les logiciels applicatifs qui les équipent. Sont considérés comme services externes :
-
Les serveurs de temps NTP,
-
Le serveur d'administration LDAP et le serveur d'annuaire des utilisateurs IPsec,
-
Le serveur Syslog,
-
Le serveur CRL ou OCSP,
-
Le serveur SMC,
-
Le serveur d'enrôlement de certificats EST.
-
-
Les paramétrages usine (défaut) doivent être conservés pour ces modules :
-
CRL : celles-ci sont téléchargées périodiquement depuis un serveur CRL,
-
Horloge interne : synchronisée périodiquement avec des serveurs NTP,
-
Services d'administration NSRPC (port TCP 1300) : limités à la loopback,
-
Fonctionnalité de routage IPv6 : bien que supportée, la fonctionnalité IPv6 est désactivée par défaut et doit le rester pour la durée de l'évaluation,
-
Fenêtres d'anti-rejeu ESP, ré-authentification IKE et PFS (Perfect Forward Secrecy) d'IKE : activés,
-
Durées de vie maximales des SA : 24 heures pour les SA d'IKE et 4 heures pour les SA d'IPsec.
-
-
La certification ne concerne que ces fonctionnalités d'analyse applicative :
-
FTP sur TCP,
-
HTTP sur TCP (extensions WebDAV incluses),
-
SIP sur TCP ou UDP,
-
SMTP sur TCP,
-
DNS sur TCP ou UDP.
Et ces protocoles industriels :
-
OPC UA sur TCP,
-
MODBUS sur TCP.
D'autres protocoles ne doivent pas être utilisés dans la configuration de production.
-
-
Les paramètres suivants ne doivent pas être utilisés dans une politique de filtrage dans le but d'associer une règle de filtrage avec :
-
Une inspection applicative (proxies HTTP, SMTP, POP3 et FTP),
-
Une programmation horaire (objet temps),
-
L'action "déchiffrer" (proxy SSL),
-
La réputation d'une machine,
-
Un objet FQDN en source ou en destination (services DNS externes requis).
-
-
Les fonctionnalités suivantes peuvent être utilisées, mais ne sont pas considérées comme des fonctions de sécurité :
-
Translation d'adresses (network address translation ou NAT),
-
Qualité de service,
-
Haute disponibilité,
-
Rapports intégrés,
-
Filtrage par géolocalisation et par réputation d'adresse IP,
-
Filtrage par adresse MAC (couche Ethernet),
-
Active Update.
-
-
Le mode d'utilisation soumis à l'évaluation exclut le fait que le firewall SNS s'appuie sur d'autres services que ceux évoqués auparavant. Les modules que Stormshield fournit en option pour la prise en charge de ces services sont désactivés par défaut et doivent le rester. Il s'agit précisément :
-
Des modules permettant la prise en charge des serveurs externes (Kerberos, RADIUS, ...),
-
Du module de routage dynamique,
-
Du module de routage statique multicast,
-
De l'infrastructure à clés publiques (PKI) interne,
-
Du module VPN SSL (Portail et Tunnel) ,
-
Du cache DNS,
-
Des moteurs antivirus,
-
Des serveurs SSH, DHCP, MPD et SNMPD,
-
Du client DHCP,
-
Du relai DHCP,
-
De la connexion Wi-Fi pour les périphériques équipés,
-
De la réputation de machine,
-
Sur les modèles SNi40 et SNi20 : des capacités des composants bypass,
-
De toute signature IPS personnalisée,
-
Des objets FQDN (services DNS externes requis),
-
Des messages IPFIX,
-
De la télémétrie,
-
De Breachfighter (Sandboxing),
-
Du Network Vulnerability Manager (SNVM).
Les outils d'administration et de supervision fournissent un moyen de vérifier, à tout moment lors de l'exploitation, que ces modules sont bien désactivés.
-
-
Les algorithmes cryptographiques d'IKE et d'IPsec mis en œuvre doivent être :
Standard IPsec IPsec DR Identification Clé pré-partagée ou certificat avec une clé RSA ou ECDSA (1) Certificat avec une clé ECDSA ou ECSDSA (2) (3) Authentification/Intégrité SHA-2 en 256, 384 ou 512 bits SHA-2 en 256 bits Négociation de clé Groupes Diffie-Hellman 14, 15, 16, 17, 18, 19, 20, 21, 28, 29, 30 (4) Groupe Diffie-Hellman 28 Chiffrement AES en 128, 192 ou 256 bits en mode CBC, CTR ou GCM AES en 256 bits en mode GCM ou CTR (1) : La taille minimale d'une clé RSA doit être de 2048 bits, ou de 3072 bits pour une utilisation au delà de l'année 2030.
(2) : La taille minimale d'une clé doit être de 256 bits.
(3) : Bien que l'usage de RSA soit prohibé dans un environnement DR, un certificat racine RSA peut être utilisé pour signer un certificat intermédiaire, dédié à IPsec par exemple, à partir du moment où l'autorité de certification utilisée comme ancre de confiance sur le firewall est le certificat intermédiaire.
(4) : Pour une utilisation au delà de l'année 2030, le groupe minimal à utiliser doit être le groupe Diffie-Hellman 15.
Ces algorithmes cryptographiques sont nécessaires pour la conformité au Référentiel général de sécurité (RGS) défini par l'ANSSI.
Notez bien que les recommandations sur la mise en œuvre du mode IPsec renforcé, appelé Diffusion Restreinte (DR), en conformité avec le référentiel de l'ANSSI à propos de l'IPsec DR, sont détaillées dans la Note technique SNS "IPsec - mode Diffusion Restreinte".